Microsoft a publié son Patch Tuesday le 9 juin 2026 avec son lot de correctifs, dont deux zero-days. Problème : quelques heures plus tard, le chercheur Nightmare Eclipse remettait ça avec RoguePlanet, un exploit qui transforme Microsoft Defender en cheval de Troie. Ironie du sort : l’antivirus est devenu le maillon faible, et tous les Windows 11 à jour sont concernés.
Le 9 juin 2026, Microsoft déroulait le tapis rouge du Patch Tuesday de juin pour Windows 10 et 11. Au menu de la mise à jour KB5094126 : la correction de deux failles zero-day, GreenPlasma et YellowKey, toutes deux découvertes par le chercheur en cybersécurité Nightmare Eclipse. Jusque-là, routine mensuelle.
Sauf que quelques heures seulement après la publication des correctifs, le même chercheur balançait sur GitHub un nouvel exploit : RoguePlanet. La cible ? Microsoft Defender, le logiciel même qui est censé protéger la machine. L’exploit — une escalade de privilèges locale — permet à un attaquant d’obtenir une invite de commande avec les privilèges SYSTEM, le niveau d’accès le plus élevé sur Windows. Et le pire : ça fonctionne même après avoir installé le correctif KB5094126. La machine est à jour, et pourtant elle est vulnérable.
RoguePlanet : le Defender qui défend… contre vous
Techniquement, RoguePlanet exploite une condition de concurrence (race condition) de type TOCTOU (Time-of-Check to Time-of-Use) dans la logique interne de Defender. Le principe est aussi vicieux qu’élégant : Defender effectue une opération sur un fichier avec les droits SYSTEM, et l’attaquant, un simple utilisateur non privilégié, détourne cette opération vers une cible de son choix via des points de jonction NTFS. Une fois la redirection réussie, le tour est joué : un shell SYSTEM apparaît.
D’après le billet publié par Nightmare Eclipse sur son blog Dead Eclipse, l’exploit atteint 100 % de réussite sur certaines machines, mais reste instable sur d’autres, comportement classique d’une race condition. Les systèmes affectés incluent Windows 10 et Windows 11, même avec les mises à jour de juin 2026 installées, y compris les versions Canary Insider Preview. Windows Server est également concerné par la faille sous-jacente, bien que le PoC actuel ne fonctionne pas sur ces éditions : les utilisateurs non privilégiés ne peuvent pas monter d’images ISO, étape nécessaire à la chaîne d’attaque.
La société ThreatLocker a confirmé la dangerosité de la faille, précisant que la vulnérabilité était initialement conçue pour de l’exécution de code à distance, un scénario encore plus critique. Pour l’instant, seules les entreprises pratiquant l’allowlisting applicatif peuvent s’en prémunir efficacement. Microsoft, de son côté, déclare sobrement « étudier activement la validité et l’applicabilité potentielle de ces allégations », tout en rappelant son attachement à la « divulgation coordonnée des vulnérabilités, une norme du secteur qui protège les clients avant qu’elles ne soient rendues publiques. »
La septième salve d’une guérilla numérique
RoguePlanet n’est pas un accident isolé. Il s’agit du septième exploit zero-day publié par Nightmare Eclipse (alias Chaotic Eclipse, Dead Eclipse) depuis avril 2026, tous ciblant la même surface d’attaque : Microsoft Defender. La liste donne le tournis : BlueHammer (CVE-2026-33825, CVSS 7.8, patché en avril 2026), RedSun, UnDefend, YellowKey, GreenPlasma, MiniPlasma, et maintenant RoguePlanet.
BlueHammer, RedSun et UnDefend ont déjà été observés dans des attaques réelles, confirmées par la société de cybersécurité Huntress. Le modus operandi est toujours le même : exploiter une race condition dans Defender pour rediriger une écriture privilégiée vers C:WindowsSystem32. Microsoft avait tenté de durcir Defender après BlueHammer en avril. Le sparadrap n’a pas tenu.
Le timing de la publication — le jour même du Patch Tuesday — n’a évidemment rien d’un hasard. Nightmare Eclipse, dont les dépôts GitHub précédents ont déjà été supprimés par Microsoft, mène ce qui ressemble de plus en plus à une guérilla numérique contre le géant de Redmond. Microsoft a d’ailleurs déjà poursuivi en justice ce chercheur par le passé pour avoir exposé des failles sans coordination préalable. Ambiance.
En attendant un éventuel correctif d’urgence — aucun CVE officiel n’a encore été assigné, mais les analystes évoquent un CVSS autour de 9.6 sur 10 — la seule parade pour les administrateurs reste la restriction des droits de montage d’images ISO et la surveillance accrue des journaux Defender. Autant dire que pour les postes de travail classiques, la marge de manœuvre est mince.
Nightmare Eclipse a prévenu : le compteur ne s’arrêtera pas à sept. À ce rythme, le prochain Patch Tuesday risque d’avoir un goût de déjà-vu. Ou plutôt de déjà-lu sur un repo GitHub fraîchement créé.
